Тема: Вирус Lovesan
|
Хулиганствующий элементъ Вирус Lovesan |
|
| Поскольку мы с Олесей подхватили одну и ту же заразу, и, кроме того, её подхватили другие мои знакомые, решил поместить сюда эту информацию. Олесе: говорил же тебе, что предохраняться надо было! : ========================================================================== "Лаборатория Касперского" сообщает о начале крупномасштабной эпидемии нового сетевого червя Lovesan. За несколько часов он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров. Lovesan проникает на компьютеры через недавно обнаруженную брешь в сервисе DCOM RPC операционной системы Microsoft Windows и потенциально способен производить на подконтрольном компьютере любые манипуляции. Ошибке, которая была обнаружена лишь недавно, подвержены все серверные версии Windows NT, начиная с 4.0 и заканчивая Server 2003, что и обусловило взрывной характер эпидемии. Lovesan - не первая вредоносная программа, атакующая компьютеры через эту брешь: лишь неделю назад в интернете был обнаружен червь Autorooter не имевший, в отличие от своего последователя, полнофункциональной системы автоматического распространения. "Лаборатория Касперского" прогнозировала подобное развитие событий и рекомендовала пользователям принять необходимые меры предосторожности. "Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад, и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". В процессе распространения Lovesan сканирует порт 135 TCP/IP в поисках уязвимых компьютеров и проверяет возможность проведения атаки. Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается. Опасность червя заключается даже не столько в несанкционированном проникновении на компьютеры пользователей, сколько в генерации огромного объема "мусорного" трафика, переполняющего каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский. Основной вредоносной функцией Lovesan является активизирующийся 16 августа механизм DDoS-атаки на сайт windowsupdate.com, на котором находятся те самые обновления для операционных систем семейства Windows. В этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего может стать недоступным. В целях противодействия угрозе необходимо немедленно установить обновление для Windows, закрывающее брешь, и по возможности заблокировать с помощью межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются другими приложениями. Более подробная техническая информация доступна в "Вирусной энциклопедии": Worm.Win32.Lovesan Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026... Worm.Win32.Lovesan Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: Наличие файла "msblast.exe" в системном (system32) каталоге Windows. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов: В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. |
|
40 сообщений в этой теме
2) Скачиваешь security update c www.microsoft.com
3) Перезапускаешь комп.
4) Делаешь фигуру из трёх пальцев (Ctrl-Alt-Del)
5) Смотришь на него, родимого (msblast.exe)
6) Когда надоедает, останавливаешь этот process
7) Делаешь search в компьютере на предмет " *msblast*.* "
8) Удаляешь все найденные файлы (у меня было два - Сам и его prefetch).
9) Спишь спокойно.
вот это мне не понятно, это про фотографию строка? :))))))))
Раз уж пошли такие фотографические разговоры
securityresponse.symantec.com
И желательно не пользоваться почтовыми программами от M$ (Outlook/Express), ибо подавляющее большинство интернет-червей паразитируют именно на них. Заведите себе почтовую мышь или пегаса - голова будет болеть намноооого меньше.
-Хотя это не про данный конкретный случай, а так, доброе пожелание.
===========================
И желательно не пользоваться почтовыми программами от M$ (Outlook/Express), ===========================
И вить скока раз на одни грабли, а все одно - стоит у всех почти эта автозапускалка для вирусов... Так никакие грабли не выдержат...
Re: Грабли
Вирус Sobig
----------------------------------------------------------------------------------------------
I-Worm.Sobig.f
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.
В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc
Рассылка писем
Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.
Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес admin@internet.com.
Возможны следующие варианты Заголовка писем, Текста и Имени вложения:
Заголовок:
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст:
See the attached file for details
Please see the attached file for details.
Вложение:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.
Распространение по сети
Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них со случайными именами и расширением EXE.
Загрузка дополнительных файлов
Червь посылает UDP-пакеты по определённым IP-адресам на порт 8998 и в ответ ждёт команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные компоненты (троянские программы).
Прочее
Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 10 сентября 2003 года.
====================================================================================
Re: Вирус Sobig
Re: Вирус Sobig
Re: Вирус Sobig
Re: Вирус Sobig
Re: Вирус Sobig
More info:
www.microsoft.com
Re: Вирус Sobig
PS: Самое интересное, что подсознательно, будучи зараженным, удалял этот msblast неоднократно, но конкретно убедился лишь когда носом ткнули;)
Очередной вирус?
Симптомы:
От: Disney Int, Lovers Inc, St Valentine, Playstation и так далее.
Тема: Matrix The Game, Lovers Screensaver, Free Disney Screensaver.
Размеры: 61, 67, 68к.
Удаляйте всё нафих, и будете здоровы. А я завтра разузнаю, что за атака это была и напишу тут.
Вирус Win32.HLLM.Beagle.15872.
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о быстром распространении по интернету нового почтового червя массовой рассылки, несущего в себе опасный троянский компонент. Вирус определяется антивирусными программами Dr.Web® как Win32.HLLM.Beagle.15872.
Червь приходит с письмом, содержащим вложение - исполняемый файл с иконкой, заимствованной у стандартного приложения Windows - calc.exe (калькулятор). Размер файла-вложения - 15872 байта. Само по себе письмо выглядит весьма лаконично - в поле темы стоит слово "Hi", затем следует такой текст:
Test =)
[последовательность произвольных символов]
--
Test, yep.
Будучи запущенным неосторожным пользователем, червь для маскировки своего присутствия запускает стандартную программу-калькулятор, которая практически всегда присутствует в системе,а сам в это время копирует себя в директорию Windows\System под именем bbeagle.exe.
Для обеспечения своего запуска при последующем старте операционной системы, червь создает запись в секции автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"d3dupdate.exe"=bbeagle.exe
Червь собирает адреса электронной почты, хранящиеся на жестких дисках пораженной системы в файлах со следующими расширениями:
wab
txt
htm
html,
после чего рассылает себя по этим адресам, используя свой встроенный механизм SMTP. При рассылки червь подставляет ложный адрес отправителя. При сборе адресов червь не включает в список для рассылки своей копии адреса, содержащие следующие строки:
hotmail.com
msn.com
@microsoft
@avp.
Червь содержит в себе троянский компонент, который при запуске червя начинает слушать порт 6777 для получения инструкций удаленного пользователя. Червь содержит в своем коде большой список веб-сайтов, с которыми он пытается соединиться, предположительно, для информирования своего создателя о факте заражения конкретной машины и ее IP-адресе. Доступ ко многим сайтам из этого списка требует авторизации и их содержимое неизвестно.
Лечится все так, как описал ХЭ. На сайте Касперского есть еще утилитка. Называется что-то типа clrav. Сама сканит, удаляет и все такое :-))
Вирус MyDoom
Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о молниеносном распространении по сети Интернет новой вирусной угрозы - почтового червя массовой рассылки Win32.HLLM.MyDoom.32768 (по классификации других антивирусных вендоров - Mydoom, Shimg, Novarg). В первые же часы своего существования во всемирной сети этот червь сумел заразить десятки тысяч компьютеров на всех континентах.
Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:
Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test
При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:
The message contains Unicode characters and
has been sent as a binary attachment.
The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.
Re: Вирус MyDoom
Я уже подхватил пяток этих за полчаса.
Re: Вирус MyDoom
Дим! Че делать. Только меня вылечили. Ща опять
поймал? Ты там подробно.(для тупорылых ) поясни!
===========================
[27.01.2004]
Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о молниеносном распространении по сети Интернет новой вирусной угрозы - почтового червя массовой рассылки Win32.HLLM.MyDoom.32768 (по классификации других антивирусных вендоров - Mydoom, Shimg, Novarg). В первые же часы своего существования во всемирной сети этот червь сумел заразить десятки тысяч компьютеров на всех континентах.
Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:
Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test
При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:
The message contains Unicode characters and
has been sent as a binary attachment.
The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.
===========================
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Re: Вирус MyDoom
Дрвеб пожалуй лучше. И сканер замечательно работает в сейф-моде.
и на медленных тачках не тормозит.
Седня принесли комп зараженный, стоит это недоразумение- нортоантивирус. Выдает на старте алерт- файл такойто поражен такойто гадостью, ничего сделать не могу.
Нахрен нужен такой недоантивирь.
Кашпировский- просто тормоз.
Re: Вирус MyDoom
Реально, я за последние полгода тестировал для внутриконторских целей почти все, что водится и более или менее приличного.
Выбывало из борьбы в следующем порядке: AVP (этот вообще сразу: мы умудрились год прожить на этом недоразумении), DrWeb, McAfee, Symantec. В конце концов остался только TrendMicro.
Я никого и ни за что не агитирую, на самом деле. Вот только AVP не ставьте - поверьте уж ;)
Вирус Netsky.Q
Как и все свои предшественники новый червь распространяется по электронной почте. В поисках адресов электронной почты червем сканируются жесткие диски компьютера по маскам, заложенным в его коде. Тема сообщения, внутри которого на компьютер и попадает новая зараза, чаще всего сообщает пользователю об ошибке, например,
Delivery Error
Delivery Failure
Delivery
Mail Delivery failure
Следующий далее текст самого сообщения также информирует об ошибке при получении письма, например
Mail Delivery Failed - This mail couldn’t be represented
за которым следует генерируемый червем разного рода «мусор»
------------- failed message -------------
OZ*gok:thDVv$qVfI*yS1T%u?Ce+sjbNK2mZey1L1(+D,(kn0<2TIq>G$d#KUc(.-yo
H╧cq|~nCcYBYuj!c.,B’bgL║7u.w2dd&i’NAiGфdzNl1ф
mKTiT4?f0jdnQ|!!>b+nNQJ-dg’HK5b|:TLm
Сопутствующее вредоносному посланию вложение может состоять из слов data,mail,msg или message за которыми следует произвольное число, например "message17832.pif". Расширение такого вложения .zip или .pif.
После запуска червь пытается запустить приложение Notepad.exe c файлом temp.eml (если таковой имеется на компьютере). Свою копию sysmonxp.exe он помещает в директорию Windows. В ту же директории червь помещает еще один файл - Firewalllogger.txt, который, несмотря расширение .txt, является файлом динамической библиотеки – .dll, содержащим процедуру распространения червя по электронной почте.
С 8-12 апреля 2004 червь будет проводить DDoS атаки на сайты
www.cracks.st
www.cracks.am
www.emule-project.net
www.kazaa.com
www.edonkey2000.com
а 30 марта 2004 с 5 до 11 часов колонки динамиков будут издавать произвольные звуки.
Как и предыдущий вариант, нынешний червь удаляет из системного реестра данные, внесенные другими вредоносными программами.
Также в тексте червя зашифровано следующее послание:
We are the only SkyNet, we don’t have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren’t children. Due to this, many reports are wrong.
We don’t use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don’t prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...
- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -
Источник: "Диалог Наука"